Katalog CVE

CVE-2026-36235

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W systemie rejestracji studentów itsourcecode v1.0 odkryto podatność na wstrzyknięcie SQL w pliku scheduleSubList.php. Problem wynika z bezpośredniego włączenia parametru 'subjcode' do zapytania SQL za pomocą interpolacji łańcuchów, bez jakiejkolwiek sanitizacji lub walidacji.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do bazy danych, co zagraża poufności i integralności danych studentów. Organizacja może ponieść straty finansowe oraz reputacyjne w wyniku wycieku danych.

Rekomendacja

Zaleca się wprowadzenie odpowiednich mechanizmów sanitizacji i walidacji danych wejściowych przed ich użyciem w zapytaniach SQL. Należy również przeprowadzić audyt bezpieczeństwa aplikacji, aby zidentyfikować i naprawić inne potencjalne podatności.

Oryginalny opis (angielski, źródło NVD)

A SQL injection vulnerability was found in the scheduleSubList.php file of itsourcecode Online Student Enrollment System v1.0. The reason for this issue is that the 'subjcode' parameter is directly embedded into the SQL query via string interpolation without any sanitization or validation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS